Домен присоединился к WAP в DMZ

На сегодняшний день я использовал ADFS только для приложений, поддерживающих требования.

Сейчас я рассматриваю возможность использования его для некоторых приложений, не поддерживающих претензии.

Я читал, что для этого сервер WAP должен быть присоединен к домену, чтобы он мог выполнять ограниченное делегирование Kerberos.

Ранее мне говорили, что серверы, присоединенные к домену, не должны находиться в демилитаризованной зоне. Предполагая, что этот совет по-прежнему является передовой практикой, каков наиболее безопасный способ развертывания WAP-серверов, присоединенных к домену, в демилитаризованной зоне? ..... И существуют ли какие-либо альтернативные конфигурации, которые по-прежнему разрешают аутентификацию для приложений, не поддерживающих утверждения

Спасибо за вашу помощь

Каков наиболее безопасный способ развертывания WAP-серверов, присоединенных к домену, в DMZ?

Если вам абсолютно необходимо иметь присоединенные к домену серверы в DMZ, не размещайте контроллеры домена с возможностью записи в DMZ — только контроллеры домена только для чтения. Как правило, присоединенные к домену серверы в DMZ увеличивают риски безопасности, поэтому с точки зрения безопасности этого следует избегать, если это возможно.

И существуют ли какие-либо альтернативные конфигурации, которые по-прежнему разрешают аутентификацию для приложений, не поддерживающих утверждения?

Прокси приложения Azure AD будет хорошей альтернативой. Он поддерживает различные SSO, включая Kerberos, и расширенные правила безопасности (с Условный доступ Azure AD). Помимо расширенных средств контроля безопасности, основное преимущество заключается в том, что вам не нужно размещать какие-либо серверы внутри DMZ или открывать входящие порты на вашем брандмауэре. У него есть свои соображения и ограничения, которые могут относиться или не относиться к вашему делу. Это зависит от самого приложения, географии пользователей и некоторых других факторов.